La découverte a été rendue publique le 13 janvier 2026 par les équipes de recherche de Check Point. Le nom de cette nouvelle menace ? VoidLink, qui n’est pas un simple malware isolé.

VoidLink regroupe une trentaine de modules que l’attaquant peut assembler à la carte en fonction de la machine compromise. Concrètement, plutôt que de déployer le même code partout, l’opérateur sélectionne, module par module, ce dont il a besoin : outils de furtivité, capacités de reconnaissance, mécanismes d’élévation de privilèges ou de mouvement latéral au sein du réseau.

Une approche bien connue dans le monde Windows, mais jusqu’ici beaucoup plus rare dans l’écosystème Linux.

La plateforme dispose d’une interface utilisateur comme un SaaS classique. // Source : Check Point Research

Une conception tournée vers le cloud

Ce qui rend VoidLink particulièrement inquiétant, c’est sa compréhension des environnements dans lesquels il est injecté.

Votre vie privée doit rester privée.

Face aux cyberattaques, déjouez les pronostics. Les nouvelles arnaques sont plus complexes et plus sophistiquées, alors ne devenez pas une victime de plus, il existe des solutions performantes et accessibles.

Le code est conçu pour détecter, via les API des fournisseurs, s’il s’exécute sur AWS, Google Cloud, Azure, Alibaba ou Tencent, mais aussi s’il tourne dans un conteneur Docker ou un pod Kubernetes.​

Cet audit lui permet d’ajuster automatiquement son comportement à l’environnement visé et de tenir informé l’utilisateur via l’interface. Les équipes de Check Point Research soulignent d’ailleurs qu’une fois en place, ses capacités sont « bien plus avancées que les malwares Linux classiques ».

VoidLink embarque un arsenal de techniques pour se cacher, durer et garder le contrôle de la machine compromise, en s’appuyant notamment sur des mécanismes de type rootkit pour dissimuler ses processus, et sur plusieurs canaux de commande et contrôle pour rester en contact avec ses opérateurs tout en brouillant les pistes.​

La veille de l’environnement se poursuit tout au long de l’intrusion. La plateforme recense les solutions de sécurité et calcule une sorte de « score de risque » pour adapter sa stratégie d’évasion en conséquence.

Dans un environnement jugé très surveillé, il peut par exemple ralentir ses scans de ports pour réduire les risques de détection.​

Menace en devenir plutôt qu’attaque massive

L’objectif final du caméléon est clair, la collecte d’informations sensibles : clés SSH, mots de passe, cookies, identifiants Git, jetons d’authentification, clés API, tout y passe.

Pour l’instant, aucune campagne massive s’appuyant sur VoidLink n’a été recensée. Les échantillons ont surtout été repérés dans des bases comme VirusTotal, ce qui laisse penser que la plateforme est encore en phase de développement ou de tests. Selon les chercheurs à l’origine de sa découverte, les développeurs prévoient déjà d’ajouter la détection de nouveaux fournisseurs comme Huawei, DigitalOcean ou Vultr à la plateforme.​

Un prototype avant un déploiement plus large, donc ? L’existence même d’un tel outil inquiète les experts, qui y voient le signe d’un recentrage des attaquants sur Linux, le cloud et les infrastructures conteneurisées, désormais au cœur de nombreux services critiques.

Le rapport précise que la documentation technique suggère que l’outil a été conçu et est maintenu par des développeurs affiliés à la Chine à des fins purement commerciales.